Что измененилось в Законе о персональных данных
Первое нововведение – это поправки, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» Федеральным законом от 14.07.2022 № 266-ФЗ. Большинство изменений уже применяется с 1 сентября 2022 года. Часть поправок вступит в силу только 1 марта 2023 года. Размеры штрафов за нарушение порядка работы с персональными данными – значительные. Поэтому компаниям необходимо знать новые обязанности, предусмотренные Законом 152-ФЗ в новой редакции.
1. Уведомление Роскомнадзора об обработке персональных данных работников
Ранее работодатели имели право не уведомлять Роскомнадзор об обработке персональных данных сотрудников в том случае, когда такая обработка осуществлялась в рамках трудового законодательства. Это исключение предусматривал подп. 1 п. 2 ст. 22 Закона 152-ФЗ.
С 1 сентября 2022 года норма утратила силу. Сейчас, даже если работодатель обрабатывает персональные данные сотрудников исключительно в целях соблюдения трудового законодательства, обязательно нужно уведомить об этом Роскомнадзор.
Изменился и перечень сведений, содержащихся в уведомлении (п. 3.1 ст. 22 закона 152-ФЗ). Оператор указывает для каждой цели обработки персональных данных (далее – ПДн):
- категории ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- правовое обоснование обработки ПДн;
- перечень действий с ПДн;
- способы обработки ПДн.
2. Форма уведомления
Форму уведомления определит позднее Роскомнадзор (п. 8 ст. 22 Закона 152-ФЗ). На данный момент форма уведомления еще не утверждена, поэтому стоит использовать форму из приложения 1 к Методическим рекомендациям, утвержденным приказом Роскомнадзора от 30.05.2017 № 94.
Рекомендация Роскомнадзора – использовать электронную форму уведомления, размещенную на официальном сайте ведомства (письмо Роскомнадзора от 19.08.2022 № 08-75348).
3. Требования к содержанию локальных актов
Для соблюдения положений 152- ФЗ операторы должны издавать:
- документ, определяющий политику в отношении обработки ПДн;
- локальные акты по вопросам обработки ПДн.
С 1 сентября 2022 года сформирован перечень вопросов, подлежащих отражению в локальных актах. Так, эти акты должны содержать для каждой цели обработки ПДн:
- категории и перечень обрабатываемых ПДн;
- категории субъектов, персональные данные которых обрабатываются;
- способы, сроки обработки и хранения ПДн;
- порядок уничтожения ПДн после того, как цели обработки достигнуты (подп. 2 п. 1 ст. 18.1 закона 152-ФЗ).
При этом в локальные акты нельзя включать:
- ограничения прав субъектов ПДн;
- полномочия и обязанности оператора, не предусмотренные законодательством.
Политику в отношении обработки персональных данных следует опубликовать на сайте, через который оператор собирает эти данные (п. 2 ст. 18.1 Закона 152-ФЗ).
4. Согласие на обработку персональных данных
Согласие на обработку ПДн должно быть конкретным, информированным, сознательным, предметным и однозначным (п. 1 ст. 9 Закона 152-ФЗ).
В случае, если субъект ПДн обратился к оператору с требованием прекратить обработку ПДн, то оператор должен выполнить требование в течение 10 рабочих дней. Срок можно продлить еще на 5 рабочих дней, но обязательно направить субъекту ПДн уведомление, разъясняющее причины продления срока (п. 5.1. ст. 21 Закона 152-ФЗ).
5. Предоставление информации в Роскомнадзор и субъекту ПДн
Раньше у оператора была обязанность предоставлять запрашиваемую информацию в Роскомнадзор в течение 30 дней с даты получения запроса. Этот срок сократили до 10 рабочих дней (п. 4 ст. 20 закона 152-ФЗ). Можно продлить срок еще на 5 рабочих дней, но для этого оператор должен направить в Роскомнадзор мотивированное уведомление, с указанием причин продления срока.
Оператор должен предоставить субъекту ПДн информацию об обрабатываемых персональных данных, если субъект обратится с соответствующим запросом. До изменений срок для предоставления информации установлен не был. Сейчас на это дается 10 рабочих дней (п. 3 ст. 14 закона 152-ФЗ). Срок также можно продлить на 5 рабочих дней при условии предоставления субъекту уведомления о причинах продления срока.
Оператор должен представить запрашиваемые сведения по той же форме, по которой субъект направил запрос. Это правило действует, если субъект ПДн в запросе самостоятельно не определил, в какой форме он планирует получить информацию.
Компания «Такском» предлагает сотрудникам организаций и гражданам (физлицам) электронные подписи для любых задач. Также у «Такском» есть решения для кадрового электронного документооборота между сотрудниками и работодателем. А еще – сервис для удаленного выпуска и администрирования работодателем электронных подписей сотрудников.
Партнерский материал
Читайте также:
Этот монстр когда-нибудь наесться? От того, что ему все отчитываются - сливов баз что-то меньше не становиться... а геморра бизнесу всё больше и больше, зато чиновники довольны всё большим влиянием